【一】方案目标

• （一）满足国家相关法律法规和行业监管的要求
• （二）降低信息安全风险，提高定级对象的安全防护能力
• （三）明确组织整体目标，让安全建设更加体系化

【二】等级流程与工作安排

•  
• 1系统定级
• 2系统备案
• 3建设整改
•                4 等级测评
•                  5   监督检查

• 网络运营者
• 确定安全保护等级，编写定级报告
• 准备备案材料，到当地公安机关备案
• 建设符合等级要求的安全技术和管理体系
• 准备和接受测评师测评
• 接受公安机关的定期检查

• 安全厂商
• 辅导运营单位准备备案表、定级报告，并专家评审
• 辅导运营单位准备备案材料和备案
• 提供符合等级要求安全产品和服务以及辅助安全管理制度
• 提供IDC/云服务商通过等保的证明材料并安排测试师现场测评
• 协助运营单位接受检查

【三】客户网络环境

根据客户系统部署的网络环境，我们制定对应等保解决方案，一般客户分为物理机房环境、云租户、混合云网络环境。

3.1物理环境

3.1.1 安全物理环境：在租用的机房环境中，需要具备以下安全措施：视频监控系统、防盗报警系统、灭火设备和火灾自动报警系统、水敏感检测仪及漏水检测报警系统、精密空调、除湿装置、备用发电机（ups）、电磁屏蔽柜等，尽量选择已经获得《信息系统安全等级保护备案证明》的托管机房。

3.1.2 安全通信网络：在网络架构上部署链路负责均衡设备，在通信过程中，要采用HTTP协议，采用SSL加密进行数据传输。

3.1.3 安全区域边界：清晰系统边界，部署下一代防火墙（含ips、防病毒、带宽管理）模块，实现边界会话访问控制、技术隔离、带宽分配、入侵防范、恶意代码检测和清除。

3.1.4 安全计算环境：主要考虑主机安全与应用安全的防护，需要部署web应用防火墙或者网页防篡改系统，进行恶意代码防护，保护应用系统安全；企业版杀毒软件，保护服务器免遭病毒入侵；数据库审计系统，审计服务器和重要客户端上的每个操作系统用户和数据库用户的操作行为。

3.1.5 安全管理中心：安全管理中心区主要包括系统管理、审计管理、安全管理和集中管控；通过堡垒机实现三权分立与运维审计，通过终端安全管理软件、网络管理系统或者态势感知平台实现集中管控。

安全产品部署图

3.2云租户

3.2.1 云计算平台/系统由设施、硬件、资源抽象控制层组成；云租户控制范围包括虚拟化计算资源、软件平台和应用软件。云计算平台一般均通过信息安全等级保护三级测评，云租户的系统不能高于基础设施的测评等级。云租户物理和网络环境的测评，可以引用云服务商测评报告中包含物理与网络测评报告部分即可。
3.2.2 安全通讯网络：采用SLB服务，实现对多台云服务器进行流量分发的负载均衡，消除单点故障提升应用系统的可用性；云上签发各品牌数字证书，实现网站HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。
3.2.3 安全区域边界：DDOS高防IP、云防火墙满足等保要求中的边界防护和访问控制等要求；
3.2.4 安全计算环境：云服务商提供数据RDS服务并快照,保护数据安全；利用云安全中心“安骑士”保护服务器免受恶意代码入侵；数据库审计系统满足安全审计的要求。
3.2.5 安全管理中心：云安全中心“态势感知” 满足等保要求中安全审计和集中管控的要求；通过堡垒机实现权限分离，统一运维审计并录像。

云租户安全产品部署图

3.3 混合云环境
3.3.1 混合云架构是云端对外，扩展性好；数据库部署在本地托管机房，数据可控，链路采用VPN或者专线链接交互。
3.3.2 云租户需要采用云防火墙、抗ddos攻击满足出口的安全问题；web应用防火墙防止应用层攻击；主机安全采用云安全中心服务。
3.3.3 物理环境主要是存储数据或者进行数据备份等。物理环境的入口也需要部署下一代防火墙、数据库审计、日志审计产品、堡垒机，实现统一管理、安全可控、事件可追溯。

• 混合云安全产品部署图
  

【四】方案优势

悟安坚持以网络安全为业务核心，提出“一对一顾问式”专业服务，高效助力企业满足网络安全等级保护测评要求，通过构建主动防御体系，真正做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重，实现客户系统攻击可视化、动态防护、全面审计目标，让客户真正感到安全合规的价值。